显著变化
这是一个安全版本。
显著变更
CVE-2024-21892 – 通过 Linux 功能进行代码注入和权限升级- (高)
CVE-2024-22019 – http:读取未处理的 HTTP 请求和未限定的块扩展允许 DoS 攻击- (高)
CVE-2024-21896 – 通过修补缓冲区内部的猴子补丁进行路径遍历- (高)
CVE-2024-22017 – 由于 io_uring 的原因,setuid() 不会放弃所有权限- (高)
CVE-2023-46809 – Node.js 易受 Marvin 攻击(针对 PKCS#1 v1.5 填充的 Bleichenbacher 攻击的定时变体)影响 – (中)
CVE-2024-21891 – 由于路径遍历序列处理不当导致多个权限模型绕过 – (中)
CVE-2024-21890 – 在–allow-fs-read 和–allow-fs-write 中对通配符的处理不当 – (中)
CVE-2024-22025 – fetch() brotli 解码中因资源耗尽而拒绝服务 – (中)
undici 5.28.3 版
libuv 1.48.0 版
OpenSSL 版本 3.0.13+quic1
提交
[8344719369] – crypto:禁用 privateDecrypt 的 PKCS#1 填充 (Michael Dawson) nodejs-private/node-private#525
[d093600ac4] – deps:更新 openssl-3.0.13+quic1 的 archs 文件 (Node.js GitHub Bot) #51614
[6cd930e5e8] – 文件:将 openssl 源升级至 quictls/openssl-3.0.13+quic1 (Node.js GitHub Bot) #51614
[9590c15d3d] – deps:升级 libuv 至 1.48.0 (Santiago Gimeno) #51698
[666096298c] – 文件:默认禁用 libuv 中的 io_uring 支持 (Tobias Nießen) nodejs-private/node-private#528
[a4edd22e30] -fs:防止在 possiblyTransformPath 中修改缓冲区内部结构 (Tobias Nießen) nodejs-private/node-private#497
[6155a1ffaf] – http:添加最大块扩展大小 (Paolo Insogna) nodejs-private/node-private#518
[777509495e] – lib:使用缓存fs内部结构对抗路径遍历 (RafaelGSS) nodejs-private/node-private#516
[9d2ac2b3fc] – lib:更新 undici 至 v5.28.3 (Matteo Collina) nodejs-private/node-private#538
[208b3940c7] – src:修复 node::credentials 中的 HasOnly(capability) (Tobias Nießen) nodejs-private/node-private#505
[fc2454f29c] – src,deps: 如果启用 io_uring 则禁用 setuid() 等 (Tobias Nießen) nodejs-private/node-private#528
[ef3eea20be] – test,doc: 澄清通配符用法 (RafaelGSS) nodejs-private/node-private#517
[8547196964] – zlib:出缓冲区满时暂停流 (Matteo Collina) nodejs-private/node-private#540
Windows 32-bit Installer: https://nodejs.org/dist/v21.6.2/node-v21.6.2-x86.msi
Windows 64-bit Installer: https://nodejs.org/dist/v21.6.2/node-v21.6.2-x64.msi
Windows ARM 64-bit Installer: https://nodejs.org/dist/v21.6.2/node-v21.6.2-arm64.msi
Windows 32-bit Binary: https://nodejs.org/dist/v21.6.2/win-x86/node.exe
Windows 64-bit Binary: https://nodejs.org/dist/v21.6.2/win-x64/node.exe
Windows ARM 64-bit Binary: https://nodejs.org/dist/v21.6.2/win-arm64/node.exe
macOS 64-bit Installer: https://nodejs.org/dist/v21.6.2/node-v21.6.2.pkg
macOS Apple Silicon 64-bit Binary: https://nodejs.org/dist/v21.6.2/node-v21.6.2-darwin-arm64.tar.gz
macOS Intel 64-bit Binary: https://nodejs.org/dist/v21.6.2/node-v21.6.2-darwin-x64.tar.gz
Linux 64-bit Binary: https://nodejs.org/dist/v21.6.2/node-v21.6.2-linux-x64.tar.xz
Linux PPC LE 64-bit Binary: https://nodejs.org/dist/v21.6.2/node-v21.6.2-linux-ppc64le.tar.xz
Linux s390x 64-bit Binary: https://nodejs.org/dist/v21.6.2/node-v21.6.2-linux-s390x.tar.xz
AIX 64-bit Binary: https://nodejs.org/dist/v21.6.2/node-v21.6.2-aix-ppc64.tar.gz
ARMv7 32-bit Binary: https://nodejs.org/dist/v21.6.2/node-v21.6.2-linux-armv7l.tar.xz
ARMv8 64-bit Binary: https://nodejs.org/dist/v21.6.2/node-v21.6.2-linux-arm64.tar.xz
Source Code: https://nodejs.org/dist/v21.6.2/node-v21.6.2.tar.gz
Other release files: https://nodejs.org/dist/v21.6.2/
Documentation: https://nodejs.org/docs/v21.6.2/api/